diff --git a/src/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md b/src/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md index 27eec6c67..3a3550d1d 100644 --- a/src/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md +++ b/src/mobile-pentesting/android-app-pentesting/drozer-tutorial/exploiting-content-providers.md @@ -14,7 +14,7 @@ Im _Manifest.xml_-Datei ist die Deklaration des Content Providers erforderlich. ``` Um auf `content://com.mwr.example.sieve.DBContentProvider/Keys` zuzugreifen, ist die Berechtigung `READ_KEYS` erforderlich. Es ist interessant zu bemerken, dass der Pfad `/Keys/` im folgenden Abschnitt zugänglich ist, der aufgrund eines Fehlers des Entwicklers nicht geschützt ist, der `/Keys` gesichert, aber `/Keys/` deklariert hat. -**Vielleicht kannst du auf private Daten zugreifen oder eine Schwachstelle ausnutzen (SQL Injection oder Path Traversal).** +**Vielleicht kannst du auf private Daten zugreifen oder eine Schwachstelle (SQL Injection oder Path Traversal) ausnutzen.** ## Informationen von **exponierten Content Providern** abrufen ``` @@ -40,7 +40,7 @@ Grant Uri Permissions: False ``` Es ist möglich, zusammenzustellen, wie man den **DBContentProvider** erreicht, indem man URIs mit “_content://_” beginnt. Dieser Ansatz basiert auf Erkenntnissen, die durch die Verwendung von Drozer gewonnen wurden, wo wichtige Informationen im _/Keys_ Verzeichnis zu finden waren. -Drozer kann **verschiedene URIs erraten und ausprobieren**: +Drozer kann **mehrere URIs erraten und ausprobieren**: ``` dz> run scanner.provider.finduris -a com.mwr.example.sieve Scanning com.mwr.example.sieve... @@ -56,7 +56,7 @@ Sie sollten auch den **ContentProvider-Code** überprüfen, um nach Abfragen zu ![](<../../../images/image (121) (1) (1) (1).png>) -Wenn Sie außerdem keine vollständigen Abfragen finden können, sollten Sie **überprüfen, welche Namen vom ContentProvider** in der `onCreate`-Methode deklariert sind: +Wenn Sie außerdem keine vollständigen Abfragen finden können, könnten Sie **überprüfen, welche Namen vom ContentProvider** in der `onCreate`-Methode deklariert sind: ![](<../../../images/image (564).png>) @@ -173,10 +173,62 @@ Vulnerable Providers: content://com.mwr.example.sieve.FileBackupProvider/ content://com.mwr.example.sieve.FileBackupProvider ``` +## 2023-2025 Updates & Modern Tips + +### Drozer 3.x (Python 3) ist verfügbar + +WithSecure hat 2022 die Wartung von drozer wieder aufgenommen und das Framework auf **Python 3** (neueste **3.1.0 – April 2024**) portiert. +Neben Kompatibilitätskorrekturen umfassen neue Module, die besonders nützlich sind, wenn man mit Content Providers arbeitet: + +* `scanner.provider.exported` – listet nur Provider mit `android:exported="true"`. +* `app.provider.grant` – ruft automatisch `grantUriPermission()` auf, sodass Sie mit Providern kommunizieren können, die `FLAG_GRANT_READ_URI_PERMISSION` / `FLAG_GRANT_WRITE_URI_PERMISSION` auf Android 12+ erwarten. +* Bessere Handhabung von **Scoped Storage**, sodass dateibasierten Provider auf Android 11+ weiterhin erreicht werden können. + +Upgrade (Host & Agent): +```bash +pipx install --force "git+https://github.com/WithSecureLabs/drozer@v3.1.0" +adb install drozer-agent-3.1.0.apk +``` +### Verwendung des integrierten `cmd content` Helfers (ADB ≥ 8.0) + +Alle modernen Android-Geräte werden mit einer CLI geliefert, die Anbieter abfragen/aktualisieren kann **ohne einen Agenten zu installieren**: +```bash +adb shell cmd content query --uri content://com.test.provider/items/ +adb shell cmd content update --uri content://com.test.provider/items/1 \ +--bind price:d:1337 +adb shell cmd content call --uri content://com.test.provider \ +--method evilMethod --arg 'foo' +``` +Kombinieren Sie es mit `run-as ` oder einer gerooteten Shell, um interne Anbieter zu testen. + +### Aktuelle reale CVEs, die Content Providers ausgenutzt haben + +| CVE | Jahr | Komponente | Fehlerklasse | Auswirkung | +|-----|------|------------|--------------|------------| +| CVE-2024-43089 | 2024 | MediaProvider | Pfad Traversierung in `openFile()` | Beliebiger Datei-Lesezugriff aus dem privaten Speicher jeder App | +| CVE-2023-35670 | 2023 | MediaProvider | Pfad Traversierung | Informationsoffenlegung | + +Reproduzieren Sie CVE-2024-43089 auf einem anfälligen Build: +```bash +adb shell cmd content read \ +--uri content://media/external_primary/file/../../data/data/com.target/shared_prefs/foo.xml +``` +### Hardening-Checkliste für API 30+ + +* Deklarieren Sie `android:exported="false"`, es sei denn, der Anbieter **muss** öffentlich sein – ab API 31 ist das Attribut obligatorisch. +* Erzwingen Sie **Berechtigungen** und/oder `android:grantUriPermissions="true"` anstelle des Exports des gesamten Anbieters. +* Whitelisten Sie erlaubte `projection`, `selection` und `sortOrder` Argumente (z.B. Abfragen mit `SQLiteQueryBuilder.setProjectionMap` erstellen). +* In `openFile()` den angeforderten Pfad kanonisieren (`FileUtils`) und `..`-Sequenzen ablehnen, um Traversierung zu verhindern. +* Bevorzugen Sie beim Freigeben von Dateien das **Storage Access Framework** oder einen `FileProvider`. + +Diese Änderungen in den aktuellen Android-Versionen bedeuten, dass viele Legacy-Exploitation-Primitiven weiterhin funktionieren, jedoch zusätzliche Flags/Berechtigungen erfordern, die die aktualisierten drozer-Module oder der `cmd content`-Helfer automatisch anwenden können. + ## Referenzen - [https://www.tutorialspoint.com/android/android_content_providers.htm](https://www.tutorialspoint.com/android/android_content_providers.htm) - [https://manifestsecurity.com/android-application-security-part-15/](https://manifestsecurity.com/android-application-security-part-15/) - [https://labs.withsecure.com/content/dam/labs/docs/mwri-drozer-user-guide-2015-03-23.pdf](https://labs.withsecure.com/content/dam/labs/docs/mwri-drozer-user-guide-2015-03-23.pdf) +- [https://github.com/WithSecureLabs/drozer/releases/tag/3.1.0](https://github.com/WithSecureLabs/drozer/releases/tag/3.1.0) +- [https://source.android.com/security/bulletin/2024-07-01](https://source.android.com/security/bulletin/2024-07-01) {{#include ../../../banners/hacktricks-training.md}} diff --git a/theme/ai.js b/theme/ai.js index 68d091923..a376d751b 100644 --- a/theme/ai.js +++ b/theme/ai.js @@ -4,9 +4,10 @@ (() => { - const KEY = 'htSummerDiscountDismissed'; - const IMG = '/images/discount.jpeg'; - const TXT = 'HT Summer Discount, Last Days!'; + const KEY = 'htSummerDiscountsDismissed'; + const IMG = '/images/discount.jpeg'; + const TXT = 'Click here for HT Summer Discounts, Last Days!'; + const URL = 'https://training.hacktricks.xyz'; /* Stop if user already dismissed */ if (localStorage.getItem(KEY) === 'true') return; @@ -32,13 +33,37 @@ display: flex; flex-direction: column; align-items: stretch; `); - /* --- Title bar (separate, over image) --- */ + /* --- Title bar (link + close) --- */ const titleBar = $('div', ` - padding: 1rem; text-align: center; + position: relative; + padding: 1rem 2.5rem 1rem 1rem; /* room for the close button */ + text-align: center; background: #222; color: #fff; font-size: 1.3rem; font-weight: 700; `); - titleBar.textContent = TXT; + + const link = $('a', ` + color: inherit; + text-decoration: none; + display: block; + `); + link.href = URL; + link.target = '_blank'; + link.rel = 'noopener noreferrer'; + link.textContent = TXT; + titleBar.appendChild(link); + + /* Close "X" (no persistence) */ + const closeBtn = $('button', ` + position: absolute; top: .25rem; right: .5rem; + background: transparent; border: none; + color: #fff; font-size: 1.4rem; line-height: 1; + cursor: pointer; padding: 0; margin: 0; + `); + closeBtn.setAttribute('aria-label', 'Close'); + closeBtn.textContent = '✕'; + closeBtn.onclick = () => overlay.remove(); + titleBar.appendChild(closeBtn); /* --- Image --- */ const img = $('img'); @@ -62,14 +87,15 @@ modal.append(titleBar, img, label); overlay.appendChild(modal); - (document.readyState === 'loading' - ? () => document.addEventListener('DOMContentLoaded', () => document.body.appendChild(overlay), { once: true }) - : () => document.body.appendChild(overlay))(); + if (document.readyState === 'loading') { + document.addEventListener('DOMContentLoaded', () => document.body.appendChild(overlay), { once: true }); + } else { + document.body.appendChild(overlay); + } })(); - /** * HackTricks AI Chat Widget v1.16 – resizable sidebar * ---------------------------------------------------